云计算合规性标准目录

C5（云计算合规性标准目录）是德国的“云计算 IT 安全性”标准。C5 控制集由 BSI 设计并于 2016 年月首次发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商（例如 AWS）时，它可以提供额外的保证。

现行的 C5 于 2020 年发布，涵盖以下标准及出版物的要求：

• ISO/IEC 27001:2013 – 信息安全管理体系 – 要求
• ISO/IEC 27002:2016 – IT 安全程序 – 信息安全措施指南
• ISO/IEC 27017:2015 – 安全技术 – 基于 ISO/IEC 27002 的云服务信息安全控制行为准则
• BSI – IT-Grundschutz-Kompendium，2019 年第 2 版
• CSA – 云控制矩阵 3.0.1（CSA – 云安全联盟）
• 2017 年 AICPA 信托服务原则和标准（AICPA – 美国注册会计师协会）
• ANSSI（Agence nationale de la sécurité des systèmes d’information，法国国家网络安全局）– 云计算服务提供商3.1 版（SecNumCloud）
• IDW（Institut der Wirtschaftsprüfer，德国注册会计师协会）RS FAIT 5 – 财务报告声明：“包括云计算在内的财务报告相关服务外包有序会计原则”，截至 2015 年 11 月 4 日

德国国家网络安全管理局 Bundesamt für Sicherheit in der Informationstechnik（BSI）于 2016 年制定了 C5 标准。BSI 为所有政府体系制定了 IT 安全要求，大多数德国公司均使其 IT 安全政策符合 BSI 标准。当前版本（C5:2020）于 2020 年 1 月最终确定。

C5 报告为我们的欧洲客户提供了一个独立的第三方鉴定，对我们的控制机制的设计适用性和运行有效性进行认证，以满足 C5 基本和附加标准。具体而言，在德国，客户习惯于寻找根据 C5 标准进行评测的云服务。C5 为客户提供的框架记录了与 IT-Grundschutz 等效的 IT 安全性级别，涵盖云计算的所有 IT 安全方面。对于联邦机构来讲，C5 鉴证是采购流程中的一项基本要求。

可以在相应的 AWS 安全性博客 C5 文章中查看有关 AWS C5 的最新信息。

C5 所涵盖的 AWS 区域包括法兰克福、爱尔兰、伦敦、巴黎、米兰、斯德哥尔摩、新加坡、苏黎世和西班牙，以及位于奥地利、比利时、保加利亚、克罗地亚、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、荷兰、挪威、波兰、葡萄牙、罗马尼亚、新加坡、西班牙、瑞典、瑞士和英国的边缘站点。

C5 目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息，并且/或者想了解其他服务，请联系我们。

IT-Grundschutz 这一标准用于为事业机构的信息建立和维护一种适当的防护体系。IT-Grundschutz Catalogues 介绍了典型业务流程、IT 系统和应用程序的防护措施，并规定了企业自有信息的防护体系。C5 提供了有关云服务提供商（CSP）产品与服务的指南。

AWS C5 报告面向使用 AWS Artifact 的客户提供，AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录AWS 管理控制台中的 AWS Artifact，或AWS Artifact 入门了解更多信息。

2026 年 1 月，我们宣布全面推出 AWS European Sovereign Cloud，这是一款全新的、独立的面向欧洲的云服务，完全位于欧盟（EU）境内，并在物理和逻辑上与所有其他 AWS 区域相分离。专用的 AWS European Sovereign Cloud C5 报告为我们的客户提供了一个独立的第三方鉴定，对 AWS 控制机制的设计适用性进行认证，以满足 C5 基本标准和附加标准。

要了解有关 AWS European Sovereign Cloud C5 报告的更多信息，请访问 https://aws.eu/compliance/。